Versions Compared

Old Version 109

changes.mady.by.user Fredrik Domeij

Saved on

compared with

New Version Current

changes.mady.by.user Fredrik Domeij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

På grund av GDPR så är det inte lämpligt att använda studenters personnummer som ESI. För studenter så finns två andra nationella identifiererare identifierare som kan vara lämpliga att använda som bas för ESI, ExterntStudentUID från Ladok/NyA/Antagning.se respektive unikt id i eduID. Ett tredje alternativ är att skapa en lokalt ESI direkt kopplat till studentens identitetsutfärdare. För de organisationer som använder Ladok rekommenderas att ExterntStudentUID i Ladok används.

Använda ExterntStudentUID från Ladok som ESI

Info
titleRekommendation

För de lärosäten som använder Ladok rekommenderas att ExterntStudentUID i Ladok används för att bilda ESI. Fördelen med just denna variant är att studenten behåller samma ESI-värde även om de börjar studera vid annat lärosäte med förutsättning att även det nya lärosätet använder ESI från Ladok.

Denna variant går även använda för de lärosäten som inte använder Ladok men använder NyA/Antagning.se för antagning. Detta värde kan då hämtas från NyA/Antagning.se.

I Ladok finns ett ExterntStudentUID för varje student. Värdet kommer från UHR:s studentregister där samordning sker med Ladok och NyA/Antagning.se för att varje student som etableras i Ladok eller NyA/Antagning.se ska få en unik gemensam identifierare. För att i möjligaste mån se till att studenter I Ladok finns ett ExterntStudentUID för varje student. Värdet kommer från UHR:s studentregister där samordning sker med Ladok och NyA/Antagning.se för att varje student som etableras i Ladok eller NyA/Antagning.se ska få en unik gemensam identifierare. För att i möjligaste mån se till att studenter har samma ESI oberoende vilket lärosäte/inloggningstjänst studenten loggar in via så bör ExterntStudentUID användas för ESI. Notera att Ladok respektive NyA/Antagning.se även har egna, interna UID:er för studenter (som i Ladoks fall (StudentUID) bland annat kan användas i norEduPersonLIN). Dessa är inte samma som ExterntStudentUID.

...

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:ladok.se:externtstudentuid-9e342e78-5b6c-4902-966e-50e28a21e601

Denna ESI kan användas på två sätt:

Note

Observera att värdet från ExterntStudentUID ska från Ladok/NyA/Antagning.se ska vara skrivna med gemener (små bokstäver). Vissa verktyg får ut dessa i versaler (stora bokstäver) som då behöver konverteras till gemener.

Denna ESI kan användas på två sätt:

  1. Genom Genom en integration i den egna inloggningstjänsten mot Ladok eller NyA-Open.
  2. Genom att eduID uppdras att integrera mot Ladok/NyA-Open och sedan antingen bygga en integration mot eduID i sin inloggningstjänst eller att därefter hänvisa sina studenter till eduID för inloggning i de fall studenten vill ha med sig ESI.

...

select p.PNR, HEX(m.STUDENT_UID) from NYA.PERSON p join NYA.STUDENT_PERSON_ID_MAP m on p.PERSON_ID = m.PERSON_ID where p.PNR = '<pnr>'

Använda unikt id från eduID som ESI

Varje användare i eduID har ett unikt id som används som identifierare i attributet eduPersonPrincipalName (<unikt-id>@eduid.se) som kan användas som grund för att skapa en ESI. Det unika id:t är en textsträng på specifikt format, exempelvis abcde-fghij.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:eduid.se:abcde-fghij

Notera att eduID även har möjlighet att på ett lärosätes uppdrag integrera mot Ladok för att hämta ut ExterntStudentUID därifrån eller få det av lärosätet via en SCIM-integration och då använda ExterntStudentUID från Ladok för att använda som ESI.

Använda lokal användaridentitet vid lärosäte som ESI

Varje användare vid ett lärosäte har en unik användaridentitet som aldrig återanvänds för annan individ (används normalt i eduPersonPrincipalName i SWAMID).

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:larosate.se:abcd1234

Synkronisering med eduID

Oavsett om ett lärosäte väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisera studenters ESI med eduID. Exempel på detta:

  • Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland, eller i framtiden främst, eduID för inloggning
  • Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA/Antagning.se och låter istället sina studenter använda eduID för inloggning mot Erasmus+
  • Lärosätet har inte sina studenter i Ladok/NyA/Antagning.se

eduID har integrationsmöjligheter både för att koppla ESI till användare i eduID och för att hämta ut användares ESI från eduID:

...

Synkronisering av ExterntStudentUID med eduID

eduID kan på uppdrag från ett lärosäte tillhanda ESI för dess studenter. Efter att lärosätet godkänt användningen kan en student vid lärosätet aktivera ESI i sin användarprofil. eduID kan dock inte skicka i attributrelease att det är en student vid lärosätet beroende på säkerhetsbegränsningar.

Oavsett om ett lärosäte väljer att implementera ESI i sin identitetsutfärdare eller ej så finns skäl att synkronisera studenters ESI med eduID. Exempel på detta:

  • Lärosätet hämtar ESI från Ladok/NyA till sin egen IdP och lärosätets studenter använder ibland, eller i framtiden främst, eduID för inloggning
  • Lärosätet har sina studenter i Ladok men hämtar inte ESI från Ladok/NyA/Antagning.se och låter istället sina studenter använda eduID för inloggning mot Erasmus+

För mer information om att synkronisera studenters ESI med eduID i Ladok, se Synkronisera ESI med eduID (åtkomst till Ladoks dokumentation krävs).

eduID har integrationsmöjligheter med Ladok både för att koppla ESI till användare i eduID och för att hämta ut användares ESI från eduID:

Synkronisering av ESIBeskrivning
Ladok -> eduIDLärosätet kan tillåta eduID att hämta ESI för lärosätets studenter från Ladok (via Ladoks REST-API)
eduID -> LärosäteLärosätet kan hämta ESI för sina studenter från eduID (via en användarinloggning)

Använda lokal användaridentitet vid lärosäte som ESI

Note

Använd denna variant endast om ExterntStudentUID från Ladok (och NyA/Antagning.se) inte kan användas!

Varje användare vid ett lärosäte har en unik användaridentitet som aldrig återanvänds för annan individ (används normalt i eduPersonPrincipalName i SWAMID).

Användaridentiteten är en textsträng, exempelvis abcd1234, och lärosätet har en DNS-domänen (SAML Scope), exempelvis larosate.se.

Värdet på schacPersonalUniqueCode blir då: urn:schac:personalUniqueCode:int:esi:larosate.se:abcd1234

Att göra attributrelease av ESI från en identitetsutfärdare

MyAcademicID använder entitetskategorin Géant Data

Att göra attributrelease av ESI från en identitetsutfärdare

MyAcademicID använder entitetskategorin Géant Data Protection Code of Conduct för alla attribut som överförs från lärosätenas identitetsutfärdare förutom för European Student Identifier (ESI). Det beror på att ESI använder det multivärda attributet schacPersonalUniqueCode.  Detta attribut kan innehålla många olika värden med olika syfte och det är av integritets- och säkerhetsskäl endast lämpligt att släppa ESI till tjänster som har rätt att använda det.

...

För Shibboleth Identity Provider har SWAMID uppdaterat SWAMID:s exempelfiler för resolver och filter på hur ESI-värdet släpps genom ett automatiserat beslut. Se wikisidorna "Example of a standard attribute resolver for Shibboleth IdP v4 and above" och "Example of a standard attribute filter for Shibboleth IdP v3.4.0 v4 and above" och sök på attributet schacPersonalUniqueCode för att se exempelkonfigurationerna.

Active Directory Federation Services (ADFS)

ADFS Toolkit har inte inbyggt stöd i från och med version 2.01.0 och 2.0.1 för att släppa ESI via entitetskategori utan en uppdatering av SWAMID-inställningarna behöver laddas ner och konfigureras manuellt. ADFS Toolkit kommer från och med version 2.1.0 att ha stöd för ESI-kategorinhar inbyggt stöd för entitetskategorin för ESI, som gör att ESI släpps med automatik till tjänster som är markerade för entitetskategorin. Version 2.0 av ADFS Toolkit kan manuellt konfigureras för att hantera ESI via en uppdatering av SWAMID-inställningarna. Det finns inget stöd i version 1.0 och tidigare!.

Instruktion för att hantera ESI i ADFS Toolkit

...

från och med v2.1.0

...

För att snabbt få stöd för ESI-kategorin innan den byggts in i ADFS Toolkit har SWAMID släppt en utökad federationsfil som kan importeras via ett kommando, se nedan.  Federationsfilen innehåller dels specifika entitetskategorier för SWAMID, dels defaultvärden för ADFS Toolkit så att man inte behöver ta reda på URL:en till metadatat eller certifikatets fingerprint som signerar metadatat. 

...

För att testa konfigurationen ovan kan man antingen importera en SP som har rätt entitetskategori i metadatat eller tvinga en entitetskategori på en test-SP.
Man kan också "torrsimma" och emulera vilka attribut som kommer släppas med kommadot Getkommandot Get-ADFSTkToolsIssuanceTransformRules.

...

  • Identifieraren för entitetskategorin är https://myacademicid.org/entity-categories/esi.
  • Värdet för ESi ska skickas i attributet schacPersonalUniqueCode (urn:oid:1.3.6.1.4.1.25178.1.2.14).
    • Observera att det är endast ESI-värdet som ska skickas till MyAcademicID, inga andra!

Manuell konfiguration av attributrelease till MyAcademicID om inte

...

entitetskategori kan användas

Om inte lärosätets identitetsutfärdare inte kan hantera attributrelease av ESI via entitetskategori eller om lärosätet manuellt konfigurerar attributrelease behöver ni tänka på följande vid konfigurationen.

...

Presentationer som beskriver hanteringen av ESI:

På wikisidan Presentationer från webbinarium 2021 finns finns ytterligare webbinarium webbinar om MyAcademicID och EDSSI.

Förutsättningar för lärosäten

Lista på lärosäten hämtad från https://www.uka.se/fakta-om-hogskolan/universitet-och-hogskolor/lista-over-universitet-hogskolor-och-enskilda-utbildningsanordnare.html.

...

Beckmans designhögskola

...

Blekinge tekniska högskola

...

Chalmers tekniska högskola

...

Enskilda Högskolan Stockholm

...

Försvarshögskolan

...

Gammelkroppa skogsskola

...

Gymnastik- och idrottshögskolan

...

Göteborgs universitet

...

Handelshögskolan i Stockholm

...

Högskolan Dalarna

...

Högskolan Evidens

...

Högskolan i Borås

...

Högskolan i Gävle

...

Högskolan i Halmstad

...

Högskolan i Skövde

...

Högskolan Kristianstad

...

Högskolan Väst

...

Johannelunds teologiska högskola

...

Karlstads universitet

...

Karolinska institutet

...

Konstfack

...

Kungl. Konsthögskolan

...

ja

...

Kungl. Musikhögskolan i Stockholm

...

Kungl. Tekniska högskolan

...

Linköpings universitet

...

Linnéuniversitetet

...

Luleå tekniska universitet

...

Lunds universitet

...

Malmö universitet

...

Marie Cederschiöld högskola/Ersta Sköndal Bräcke högskola

...

Mittuniversitetet

...

Mälardalens universitet

...

Newmaninstitutet

...

Röda Korsets högskola

...

Skandinaviens akademi för psykoterapiutveckling

...

Sophiahemmet Högskola

...

Stiftelsen Högskolan i Jönköping

...

Stockholms konstnärliga högskola

...

Stockholms Musikpedagogiska Institut

...

Stockholms universitet

...

Svenska institutet för kognitiv psykoterapi

...

Sveriges lantbruksuniversitet

...

Södertörns högskola

...

Umeå universitet

...

Uppsala universitet

...

Örebro Teologiska Högskola (Akademi för Ledarskap och Teologi)

...

Örebro universitet

...

Specifikationer

Specifikation av European Student Identifier (ESI)

...